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= (54) Title: CRYPTOGRAPHIC REVOCATION METHOD USING A CHIP CARD 

(54) Titre : PROCEDE CRYPTOGRAPHIQUn DE REVOCATION A U AIDE D UNE CARTE A PUCE 

^ (57) Abstract: Tlie invention telates to a ciyptographic method and to a chip caid which is used to caiT>' out said method The 
^ inventive ciyptographic method comprises the following steps: before any calcularion is performed by a computing means of the 
^ chip card, said chip card reads (2) an integral list, in a storage means of a second entity, of identifiers of first proprietary entities of a 
^ chip card, said list being linked to each status assigned to each of the first entities by the second entity; and, subsequenUy, the chip 
00 ^ compares (.3) the identifier stored in a storage means dP the chip caid with the ctjntents the lisU in onler Ui aulhtmse (5) or 
O prohibit (4) any calculation by the computing means depending the result of said comparison. 

o 

Jjj (57) Abr^« : La pi^sente invention se rapporte h un proc&ie cryptographique et a une carte i puce pour la mise oeuvre du procede 
^ Le proc^d6 cryptQgraphique consiste avant tout calcul par un raoyen de calcul de la carte & puce, h lire (2) par la carte h puce dans un 

Omoyen de mfimonsalion d'une seconde entile une liste d'identifianLs sous foime inL6grale de premieres entiles prcprieUiires d'une 
carte a puce, cette lisie €tant liee k chaque 6tat attribu^ a chacune des premi&res entiles par la seconde entity, k comparer (3). par la 
carte k puce, Tidcnnfiant m6raoris6 dans un moycn dc mdmorisation dc la carte h puce et Ic conicnu de la listc, pour autoriscr (5) ou 
^ interdire (4) tout calcul do nioyen de calcul en fonction du resultat de la comparaison. 
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PROCEDE CRYFTOGRAPHIQUE DE REVOCATION A L'AIDE 
D*UNE CARTE A PUCE 

DntnfltTift rf ft rinvention 

La pr6seDte invention se rapporte au domaine des t^l^ommunications et phis 
particuli&'em.ent k la s^corisation des transmissions, en particuUer pour des services, 
qui fait appel k la cryptographie. 

Etat de Fart 

Pour authentifier rorigiae d'un dociment transmis par des moyens de 
telecommunication^ il a 6te d6velopp6 des m6canismes de signature 61ectronique. II 
faut noter que les termes transmission sous forme 61ectronique sont couramment 
utilises pour qualifier* une transmission d'un document par des moyens de 
telecommunication. Les documents dont il est question dans le contexte de Tinvention 
se presentent obligatoirement sous forme numerique par opposition k xme presentation 
sous forme papier ; le terme message est utilise dans la suite de la demande pour 
designer ce type de document. Les mecanismes de signature eiectronique les plus 
courants rqpos^ sur des techniques de cryptographie dites k ol6 publique qui mettent 
en jeu une entite dite autorite de confiance. Habituellement, cette autoiite de confiance 
genere des certificats pour le compte d'utilisateurs des precedes courants k cle publique 
; ces certificats etablissent im lien entre une cie publique et ridentite du proprietaire de 
cette cie. Pour mettre en oeuvre un tel procede, Tindividu signataire du message doit 
prealablement se &ire certifier aupr^s de Tautorite de confiance en lui communiquant 
au moins sa cie publique et son identite. Lors de sa mise en oeuvre, le procede de 
signature calcule une signature eiectronique du message en prenant en compte d'une 
part le contenu du message et d'autre part la cie privee de Tindividu. Le signataire 
transmet au destinataire le message, la signature et son certificat. Le destinataire du 
message v&ifie la signature eiectronique du message k I'aide d'au moins la cie 
publique et du contenu du message. 

Pour des plications particulieres, telles que le vote eiectronique, les endives 
eiectroniques ou le paiement eiectronique anonyme, il est necessaire de pouvoir 
disposer d'une signature eiectronique dite anonyme. Une signature eiectronique 
anonyme a les memes caracteristiques qu'une signature eiectronique sauf que le 
destinataire ne pent determiner Tidentite du signataire ; le signataire garde I'anonymat. 
Toutefois, le destinataire peut s'adresser k Tautorite de confiance qui dispose, par 
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rintennSdiaire du certificate dun moyen pour lever Tanonymat. Pami les difGSrents 
types de signature anonyme, il existe un type particulier appel6 signature anonyme de 
groupe. Un proc6d6 de signature anonyme de groupe permet k chaque membre d'un 
groupe de produire une signature 61ectronique qui soit caract^ristique du groupe. Le 
destinataire d'un message accompagn6 d*une signature anonyme de groupe peut 
verifier que la signature a 6t6 produite par un des membres du groupe. Toutefois il ne 
peut d&erminer» parmi les diff&rents membres du groupe, le membre dont il s'agit. 

Dans le contexte de Tinvention, un groupe est un ensemble d'individus qui se 
declarent aupr^ d'lme autorit6 comme appartenant k un m6me groupe. Lors de cette 
dtelaration, chaque individu interagit avec Vautorit6 de confiance selon un protocole 
ddtennin6 k Tissue duquel I'individu obtient une cle priv6e, associte k une cl6 publique 
de groupe prSalablem^ d6tecmin6e par Tautorit^ de confiance, et I'autorit^ et 
rindividu obtiennent un identifiant de Tindividu associS k cette priv6e. Chacun de 
ces individus est dans la suite de la demande d6sign6 par le tenne de membre. Un 
exemple d'un tel protocole est decrit dans Tarticle de J.Camenisch et M.Mc]iels qui a 
pour reference "Efficient group signature signature schemes for large groups". In 
B.Kaliski, editor, Advances in Cryptology - CRYPT097, vohune 1296 of LNCS, 
pages 410 a 424, Springer-Verlag, 1997. La meme inta-action intervient lors de 
rairivfe d"un nouveau membre. L'existence d'un groupe se traduit du c6te de Tautorite 
de confiance par I'attribution au groupe d'une q16 publique dite de groupe et par 
Tattribution k chaque membre d'lme cl6 privde associee k la cle publique, diff^rente 
pour chaque membre, et d'un identifiant. A Taide de sa cl6 priv6e, un membre peut 
produire une signature anonyme de groupe d*un message de son choix. Un destinataire 
quelconque peut verifier que cette signature a bien 6t6 produite par un des membres du 
groupe k condition d'utiliser la cl6 publique de groupe. A Tissue de la v&lfication, le 
destinataire a la certitude que la signature a 6te produite, ou pas, par un membre du 
groupe, mais il n'obtient aucune information sur Tidentifiant de ce membre ; la 
signature est anonyme, Le destinataire a toutefois la possibility de s'adresser k 
rantorit6 de confiance qui peut d^erminer TidentitS du signataire k partir de 
ridentifiant chi£fr6, au moym d\me cl6 publique de raatorit6 de confiance, qui 
accompagne la signature anonyme de groiq>e. L'autoiitS de confiance peut done lev^ 
I'anonymat k tout moment. 

Apr^ constitution wxprhs de Tautority de confiance, im groiipe peut Svolu^. 
Selon un premier type d'^vohition, de nouveaux individus peuvent devenir membres 
du groupe. Selon un deuxidme type d'^volutioxi, des membres peuvent disparaStre, soit 
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par le d^art d^un individu du groiq>e, soit par Texclusion d'un individu du groupe ; 
poxir ce type d'6volution, on parle de revocation, A chaque 6vohition du groupe, 
rautorite de confiance est confront^e au probl^e de donner ou de retirer k van membre 
du groupe les moyens de produire ime signature anonyme du groupe. Le premier 
probl^e pos6» qui r^ide dans I'attribution des moyens de produire une signature 
anonyme du groupe k un nouveau memhre, est r&olu en utilisant un des algorithmes 
de gdn&'ation de cl6 publique/cl6 priv6e connus qui permett^ d'assoder k une m8me 
cl6 publique autant de cl6s priv6s que n^cessaire. Un exemple d'un tel algoiithme est 
d6crit dans Tarticle de J.Camenisch et M.Michels qui a pour r^fSrence "EfELcient group 
signature signature schemes for large groups". In B.Kaliski, editor, Advances in 
Cryptology- CRYPT097, volume 1296 of LNCS, pages 410 i 424, Springer- Verkg, 
1997. 

Art ant&ieur 

Le second problfeme pose, qui reside dans le feit de retirer a un individu ces 
moyens, pr6sente difFerentes solutions connues qui sont des proc6d6s de revocation. 

Un premier de ces proc6d& est d^crit dans Tarticle suivant de £. Bresson et J. 
Stem, « Efficient Revocation in group Signatures », in K. Kim, editor, Public Key 
Cryptography - PKC 2001, volume 1992 of LNCS, pages 190-206, Spring^-Vorlag, 
2001. Ce proc6d6 repose sur le &it que chaque membre d'un groupe possMe un 
identifiant qui lui est propre. Etant donn^ que la signature doit rester anonyme, il n'est 
pas possible de d^voiler cet identifiant. Toutefois, selon le proc6d6, Tidentifiant du 
signataire est divis6 par celui de chaque membre r^oque ; le rSsultat de la division est 
toujours diffluent de 1 si et seulement si le signataire n'est pas hii-m&ne un membre 
r6voque. Ensuite, le proc6d6 chiffre, avec un algoiithme de chiffrement, chacun des 
r&ultats de ces divisions et transmet au destinataire ces rdsultats chrfSfr^ accompagnte 
d'616ments d6tennin6s. Le destinataire exploite les 616ments d6tOTnin6s et les r&ultats 
chiffir^s pour verifier d'une part que les divisions ont et^ correctement efFectu^es et 
d'autre part que tons les r6sultats sont diff£rents de 1 ; c'est-&-dire pour s 'assure que 
la signature a ete produite par un membre non r^voquS. 

Ce proc6d6 a pour inconv^mt de g^n^rer une signature anonyme de groupe 
dont la longueur et le temps de calcul augmentent proportionnellement au nombre de 
membres r6voqu6s, 6tant donn6 qu'il y a autant de r&uttats chif&es et d'6Mments 
d^ermin^s que de membres r£voqu£s. 

Un deuxi&me de ces proc6d6s de revocation est d6crit dans Tarticle de H.J. 
Kim, J.L lim et D.H. Lee qui a pour reference « EfGcient and Secure Member 
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DeletioB in Group Signature Schemes », In D. Won» editor. Lifbrmation Security and 
Cryptology - ICISC 2000, volume 2015 of LNCS, pages 150 et s. Springer-Verlag 
2000. Ce proc&16 consiste h utiliser trois cl& suppl6mentaires en phis des cl6s 
n6cessaires k la r6ussite de la signature de groupe : une cl6 priv6e de propri6t6 pour 
chaque membre, une cl6 pubUque de propriSt6 pour permettre k chaque membre de 
verifier la validity de sa cl6 et une cl6 publique de renouvellement permettant k chaque 
membre de modifier sa cl6 privte de propriety k chaque fois qu'un membre rejoint ou 
quitte le groupe. Pour chaque nouveau membre et pour chaque r6vocation d'un 
membre, Tautorit^ de confiance modifie la cl6 pubUque de propri6t6 et la cl6 de 
renouvellement. Chaque membre restant du groupe modifie sa propre cle priv6e de 
propriety k Taide de la cl6 de renouvellemoit et v6rifie sa validity grSce k la cl6 
publique de propri£t6. Lors de la signature dlectronique d'un message, le membre 
signataire utilise sa cl6 priv£e de propri6t6. Ainsi, le destinataire peut verifier la 
signature flectronique k Taide de la cl6 publique de propri6t6. Ce proc6d6 a pour 
inconvenient d'Stre d'application particuli^e car il est prouv6 siire uniquement dans un 
schema de signature de groupe particulier qui correspond k celui pr^sent^ dans Tarticle 
de J. Cameniseh, M. Michels, ayant pour r^fiSrence « A group Signature Scheme with 
Improved Efficiency », In K. Ohta et D. Pei, editors. Advances in Cryptology - 
ASIACRYPT'98, volume 1514 of mCS, pages 160-174. Springler-Verlag, 1998, En 
outre, ce proc&le est d^savantageux en ce qu'il impose des calculs a chaque membre k 
chaque fois qu'un membre rejoint ou quitte le groupe ; or, ces calculs peuvent devenir 
frequents si la dynamique du groupe est importante. 

Un des objecti& de I'inv^ion est de rem&iier aux inconv6nients des mdthodes 
connues et pr^cSdemment d6crites. 

Expos6 de Tinvention 

A cet efifet, Tinvention a pour objet tm precede oyptographique mis en oeuvre 
par une carte k puce d'un ensemble de cartes k puce appartenant chacune k une 
premise entit6 qui peut etre difiSSrente pour chaque carte k puce, chaque carte k puce 
6tant 6qvap6G dWe puce coiqprenant un moyen de memorisation dans lequel sont 
memorises ime cl6 secrete et un identifiant de la premiere entit6 proprietaire de la carte 
k puce et comprenant un moyen de calcul dans lequel est implant^ im algorithme de 
cryptographie ayant poiir arguments d'entree au moins la cle secrete. Le proc^de 
oyptographique selon Tinvention comprend les Stapes qui consistent : 

- avant tout calcul par le moyen de calcul de la puce de la cartel puce, ilire 
par la puce dans un moyen de memorisation d'une seconde &atit6 une liste 
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dldeatifiants sous forme int^grale des premidres entity propii6taires dVme 
carte k puce, cette liste &ant liee h chaqae 6tat attribu^ k chacune des 
premieres entites par la seconde entity, 
- k coQq>arer par la puce ridentifiant m&xioris6 dans le moyen de 
memorisation de la puce et le contenu de la liste, pour autoris^ ou interdire 
tout calcnl du moyen de calcul en fonction du rfeultat de la conq)araison. 
L'invration a en outre pour objet une carte k puce pour la mise en ocuvre d'un 
tel proc6d6. 

Le proc6d6 selon Tinvention consiste k interdire par la puce de la carte k puce 
tout calcul ciyptographique implante dans la puce, brsque le propri^taire de la carte k 
puce est dans un 6tat positionn6 k r6voqu6 par la seconde eattt6. Dans le cas contraire, 
le propri^taire de la carte k puce est dans un &tai positionne k non r6voqu4 la puce 
autorise le calcul. La seconde entity qni est typiquement une autorit6 de confiance, 
met a jour une liste des identifiants de chaque proprifitaire de carte k puce dont r6tat est 
r6voqu6 ou non r6voqu6. Cette liste est m6morisee par la seconde entity dans un moyen 
de memorisation connecte k un r^seau de telecommunication. Ce moyen est accessible 
par la carte k puce via un lecteur de carte k puce associe k un ordinatemr tel un 
ordinateur personnel, hii-meme connecte au r&eau de teiecommunicatioa 

Ainsi, un membre revoque ne peut pas efifectuer de calcul cryptographique s'il 
est revoque. Si Talgorithme de cryptographie implante dans la puce est un algorithme 
de calcul de signature anonytne, le proprietatre de la carte k puce ne peut pas signer un 
fichier au moyen de sa carte k puce s'il est revoque. 

Le procede selon Tinvention peut &re realise de maniere particuli^e ; certaines 
realisations sont listees ci-aprds de &Qon non-exhaustive. 

Selon une realisation particulidre, la liste conqnrend les identifiants des ostites 
revoqu6es, dans ce cas la liste est dite liste noire. 

Selon une autre realisation particuliere, la liste comprend les identifiants des 
entites non revoquees, dans ce cas la liste est dite liste blanche. 

Selon une autre realisation particuliere, la liste est signee par la seconde entite ; 
la seconde entite calcule c^te signature au moyen dW algorithme de signature. Get 
algorithme peut-etre un algorithme asymetrique k cie publique tel que RS A, RSA etant 
les initiales des inventeurs Avant toute autorisation, la puce verifie la validate de la 
signature. Dans le cas d\in algorithme de signature k cie publique, la puce v6rifie la 
signature au moyen du mgme algorithme asymetrique en prenant comme argum^t 
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d*eittrte la cl6 publique. Cette v&ification pmnet d'aufheatifier la liste dans son 
ensemble et done de verifier son int^grit^ 

Selon une autre realisation particuli&rej chaque identifiant de la liste est associ6 
k xme valeur de comptage, chaque ensemble fonn6 de Tidentifiant et de la valeur de 
comptage associ^ ^ant sign6 par la seconde entity ; la liste comprend une valeur du 
nomfare d'identifiants list& dans la liste ainsi qae la signature de c^e valeur. Chaque 
signature est calcul6e de la mgme manidre que dans la realisation pr6cedente. Avant 
toute autorisation, la puce v6rifie la validity de chaque signature. Cette verification 
permet tfauthentifier chaque identifiant de la liste, la valeur de comptage associe et la 
valeur lue du nombre d'identifiants. En outre, la puce inoremente un compteur k 
chaque lecture d'un identifiant en prenant en compte la valeur de comptage associ6e k 
ridentifiant lu puis elle compare ce compteur k la valeur authentifite a^wit toute 
autorisation de calcul par la puce. Cette conotparaison penn^ de verifier I'intdgrite du 
nomfare d'identifiants lus. 

D'autres caracteristiques et avantages de Tinvention apparaStront lors de la 
description qui suit et qui est faite en regard des figures suivantes annex^es de modes 
particulim de realisation donnes k titre d'e^cemples non limitatifi. 

Brdve descrq)tion des figures 

La figure 1 est un organigramme dhm precede cryptographique selon 
riavention. 

La figure 2 est un organigramme d'un premier mode de realisation d'un precede 
cryptographique selon I'iavention. 

La figure 3 est un organigramme d*un deuxieme mode de realisation d'un 
procede cryptographique selon Tinvention. 

La figure 4 ^t un organigramme d'un exemple de mise en oeuvre par une puce 
du deuxidme mode de realisation d'un procede cryptographique selon Tinvention. 

La figure 5 est un schema 6Sm& carte k puce selon Tinvention. 

La figure 1 est un organigramme d'un precede cryptographique selon 
I'inventioa 

Description detailiee de modes dpt realisation de rinvention 
Le procede est mis en oravre par une carte k puce d*un ensemble de cartes k 
puce appartenant chacune k une premi&'e entite. Chaque premiere entite, typiquement 
une personne physique, peut etre differente pour chaque carte k puce. Chaque carte a 
puce est equipee d'une puce qui comprend un moyen de memorisation et un moyen de 
calcul. Une cie secrete et un identifiant de la premiere entite proprietaire de la carte k 
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puce sont m&noris^s dans le moyen de memorisation. Un algoritlmxe de cryptographie 
ayant pour argummts d*entr6e au moins la cU secrdte est implant^ dans le moyen de 
calcuL 

Cet algorithme de cryptographie peut tout aussi bien &ie un algorithme de 
calcul de signature de groupe, un algoiifhrne de chifGrement ou un algorithme de 
d^chiffrement. 

Un exemple d'algorithme de calcul de signature de groupe est dicnt dans 
Tarticle de J.Camenisch et MStadler qui a pour reference "Efficient group signature 
schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - 
CRYPT097, volume 1296 of LNCS, pages 410 k 424, Springer-Verlag, 1997. Une 
autre description est donn^ dans Tarticle de J.Camenisch et M.Mchels qui a pour 
r6f6rence "A group signature scheme with improved efficiency. In ELOhta et D.Pei, 
editors. Advances m cryptobgy- ASIACRYFr98, volume 1514 of LNCS, pages 160- 
174. Sprmger-Verlag, 1998. L'algorithme RSA peut fitre utilise comme algorithme de 
chiffrement / dechiffrement. 

Le proc6d6 comprend plusieurs Stapes ci-apr^ d^crites. Four signer, chiffrer ou 
dSchiffier, la puce active le moyen de calcul qui calcule une donnte de sortie en 
fonction d'arguments d'entrte pr&ent^s en entrte de Talgorithme de cryptographie. 

Avant tout calcul 1 par le moyen de calcul de la puce de la carte h puce, le 
proced^ consiste k lire 2 par la puce dans un moyen de memorisation d*une seconde 
mtite une Uste dldentifiants sous forme int6grale des premieres entitfe propri6taires 
dHme carte a puce. De mani^e totalement equivalente, le proc^dS peut 6crire dans la 
puce une liste lue dans le moyen de memorisation dhme seconde entity. Dans la suite 
de la description, toute operation de lecture p^ ^re renq}lac£e de manidre total^ent 
Equivalente par une operation d'toiture. La liste est liee a chaque ^at attribue k 
chacune des premieres entit6s par la seconde entit6 ; Tetat est positionn6 k r6voqu6 ou 
non r6voqu6 par la seconde entity. La liste contient soit les premises entit6s 
r^oqu^, il s'agit dSme liste noire, soit les premieres entity non revoquees, il s*agit 
dhme liste blanche. La seconde entity memorise cette liste dans un moyen de 
memorisation qui est accessible via un r^seau de telecommunication. H peut s'agir d*un 
espace memoire sur un serveur ou sur une memoire de masse par exemple. 

Le precede consiste ensuite k comparer 3 par la puce PidentiSant memorise 
dans le moyen de memorisation de la puce et le contenu de la liste. Si, a Tissue de la 
comparaison, la puce trouve que la premiere entite est revoquee alors la puce interdit 4 
tout calcul du moyen de calcuL Par centre, si, k Tissue de la comparaison, la puce 
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trouve que la premidre entity est non r£voqa6e alots la puce autorise S tout calcul du 
moyen de calcul. 

Pour mettre en oeuvre par une puce la comparaison, le processus est le suivant. 
La puce initialise un t6moin h, vltl EUe compare successivemeut chaque identifiant lu k 
ridentifiant m6tuoris6 dam la puce ; s'il nV a pas identity la puce positionne le t^moin 
k m sinon elle positionne le t^moin k z£ro. A Tissue de la comparaison entre chaque 
identifiant hi et ridentifiant m6moTis6 dans la puce» la puce interdit tout calcul da 
moyen de calcul si le t&noin est ^ un. Par contre si le tteoin est k z6ro, la puce 
autorise tout calcul du moyen de calcul. 

Un premier mode de r6alisation dun proc6d6 cryptographique selon I'mvention 
est illustrg par la figure 2. Ce mode comprend les Stapes d&)rites en regard de la figure 
1, elles ne sont pas re-d6(aites, et des di^es complSmentaires ci-aprds d&aites. La 
puce lit 10 en outre^ en m§me temps que la liste et dans la m6me zone m6moire, une 
signature de cette liste. La signature est prealablement calculee par un moyen de calcul 
de la seconde oniiti, Avant autorisadon 5 par la puce de tout calcul du moyen de 
calcul, la puce v6rifie 1 1 la validity de la signature pour authentifier la liste et pour 
verifier son integrity Si la signature n'est pas valide, la puce interdit 4 tout calcul du 
moyen de calcul, sinon elle autorise S le calcuL 

Un deuxi&ne mode de realisation dSm proc^6 cryptographique selon 
rinvention est illustre par la figure 3. Ce mode comprend les 6tapes decrites en regard 
de la figure 1, elle ne sont pas re-decrites, et des etapes compl6mentaires ci-apres 
d^cntes. La puce lit 12, 13, 14 en outre, en mSme temps que la liste et dans la m6me 
zone m^oire, une valeur de comptage associ6e k chaque identifiant, une signature 
pour chaque ensemble conq)Os6 d*un identifiant de cette liste et d*une valeur de 
conq>tage associte, la val^ du nombre d'identifiants de cette liste ainsi qu^une 
signature de cette valeur. La signature de chaque identifiant et de sa valeur de 
comptage associ^e, la valeur du nombre dldentifiants et la signatxu'e de cette valeur 
sont pr6alablement calculees par im moyen de calcul de la seconde entxt6 et 
m6moris6es dans la mSme zone mdmoire que la liste. La puce jncr^ente 15 un 
compteur k chaque lecture par la puce dhm identifiant en prenant en conqite la valeur 
de comptage associde k Tidentifiant, pour compter le nombre d'identifiants. Avant 
autorisation 5 par la puce de tout calcul du moyen de calcul, la puce verifie 16, 17 la 
validity de chacune des signatures pour authentifier respectivement chaque identifiant 
de la liste et le nombre d'identifiants. Si une des signatures n*est pas valide, la puce 
interdit 4 le calcul. 
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A Wssue de la lecture de la liste des idmtifiants, la puce compare 18 la valeur 
de son compteur k la valeur lue du nombre tfidentifiants. Si ces valeurs sont 
dififerentes, la puce interdit 4 tout calcul du moyen de calcul. Si ces valeurs sont 
identiques, la puce v6rifie 17 la validity de la signature de la valeur du nombre 
d'identifiantsXa figure 4 illustre une mise en oeuvre par une puce de ce deuxidme 
mode. La puce initialise 19 un t6moin i un et un compteur k z6n). La puce lit 20 un 
identifiant de la liste et la valeur de comptage assod6e, lit leur signature et incr6mente 
le compteur. La puce compare 21 le t^oin k z6ro. Si le t&noin est different de z&o, la 
puce compare 22 Tidentifiant lu k Tidentifiant m6moris6 dans la puce ; s'il rfy a pas 
identit6 la puce positionne 23 le temoin a un sinon elle positionne 24 le t6moin k z6ro. 
A Tissue de la comparaison entre ridentibfiant lu et I'identifiant memorise dans la puce 
ou si le t&noin est 6gal k z6ro, la puce v6rifie 25 la vaUdite de la signature de 
I'ensemble conipos6 de I'identifiant lu et de la valeur de comptage associ6e. Si la 
signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Par contre 
si la signature est valide, la puce se met en attente de I'identifiant suivant ou 26, sll n*y 
a plus d'identifiant dans la liste, la puce lit 27 la valeur du nombre identifiants et sa 
signature. La puce compare 18 la valeur du nombre tfidentifiants avec la valeur de son 
conq)teur. Si ces valeurs sont diff6rentes, la puce interdit 4 tout calcul du moyen de 
calcul, sinon la puce vfeifie 17 la validite de la signature de la valeur du nombre lu. Si 
la signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Par 
contre si la signature est valide, la puce teste 28 la valeur du nombre d'identifiants. Si 
le temoin est different de un, la puce interdit 4 tout calcul du moyen de calcul ; le 
membre est r6voque. Sinon, la puce autorise 5 tout calcul du moyen de calcul. 

La figure 5 illustre de maniere sch6matique une carte k puce selon Tinvention. 

La carte 30 k puce est 6quip6e d'une puce 31 qui comprend au moins un moyen 
32 de memorisation, un moyen 33 de calcul et un moyen 34 de lecture dans un moyen 
de memorisation d'une seconde entite via un rfiseau de t616communication et un moyen 
35 d'autorisation du moyen de calcul. 

Le moyen 32 de m6morisation memorise une cl6 secrete et un identifiant d'une 
premi&re entite proprietaire de la carte k puce. 

Dans le moyen 33 de calcul est implant^ un algoriftme de cryptographie ayant 
pour arguments tfentr6e au moins la cl6 secrfcte. Le moyen 33 de calcul est en liaison 
avec le moyen 32 de memorisation. 

Le moyen 34 de lecture peimet de lire vme liste d'identifiants dans le moyen de 
memorisation d'une seconde entitS, via un r6seau de telecommunication. Le moyen 34 
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de lecture transmet les donnte lues au moyen 33 de calcul ou/et au moyen 35 
d'autoiisatbnpar des liaisons avec chacun de ces moyens. 

Le moyen 35 d'autorisation autorise tout calcul par le moyen 33 de calcul en 
fbnction du r6sultat dHme comparaison entre I'identifiant et le contenu de la liste. 

Une telle carte 30 k puce pennet la mise en oeuvre d'un proc6d6 selon 
rinveotion. 

Une premi&re plication d'un procedS sebn Tinvention est le vote 
61ectronique. Le vote £Iectronique se dSronle en deux phases : 

- une inscription sur une liste electorale aupr^ d*une autorit6 administrative, 

- une operation de vote auprds d\me ume connect^ via un rSseau de 
communication k un servaxr d'une administration des votes. 

Lors de Tinscription, I'Slecteur obtient dans une carte k puce, une cl6 priv6e 
personnelle et une cl6 priv^ de groupe. La signature anonyme que peut produire 
r^lecteur au moyen de sa carte k puce, et k partir de sa cl6 priv6e personnelle, est dite 
"corr61able". Ceci signifie que, dans le cas oil Mecteur tmterait de signer de maniere 
anonyme un second bulletin de vote en produisant une signature anonyme, ce bulletin 
serait rejet6 par I'ume. En effet, la signature anonyme 6tant correlable^ l*ume est m 
mesure de v&ifier qu'il s*agit d'une seconde signature anonyme. 

Un 61ecteur malveillant ne peut pas pretendre avoir perdu sa cl6 priv6e de 
groupe, en recevoir une autre et 6tre en mesure de voter deux fois. En effet, la mise en 
oeuvre dhm proced6 selon Tinvention pennet de hii interdire TutiUsation de la premise 
cle privee de groupe ; cette cle priv6e de groiqje est mise k jour au moment oH il 
declare avoir perdu la premito cl6 priv6e de groupe. Cette perte est g&c6e par la mise 
en ceuvre dSm proc6d6 selon Tinvention comme une revocation du membre. 

Une seconde application dhm proc&i6 selon Tinvention est un service 
tfench^es ^lectroniques. Les ench^es font appel k trois protagonistes : un serveur 
d'encheres, ime autorit^ de confiance et un client L'ensemble des clients forme un 
groupe dit groupe des clients. Un utilisateur d^sirant s'inscrire au groupe des clients 
doit s'adresser k rautorit^ de confiance qui lui fourdt sa cl6 priv6e pmonnelle dans 
une carte k puce, n obtient ainsi le droit de produire une signature anonyme de groupe. 
Muni de ce droit, il peut sign^ k Faide de sa carte k puce chacune de ses ench^es de 
maniere anonyme. Lors d'une ench&e pour un certain produit, chaque membre du 
groupe des clients peut ench^rir en signant un message contenant notanmient le produtt 
mis en vente et le montant de son enchto. Le serveur d'ench^es peut v&ifier 
rq)partenance au groupe et done la validity de Tenchdre en v^rifiant la signature 
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anonyme de groupe. Le vainqueur est celui qui dosne la demise enchdre avant 
radjudication. Le dernier message regu par le serveur d'enchdres est done celui du 
vainqueur. Le serveur adresse alors ce message et la signature anonyme de groupe 
correspondante k Tautorite de confiance qui est la seule capable d*en lever Tanonymat 
et done de determiner Tidentit^ physique de Tacheteur du produit mis aux ench^s. 

Les enchixes mettent en jeu des groupes dynamiques : de nouvelles personnes 
peuvent chaque jour s'inscrire au groupe, un membre peat quitter le groiq)e ou €tre 
exclu pour fi^ude k tout moment, n est done indispensable de mettre en place un 
systeme de revocation pour empScher qu'un membre r6voqu6 ne puisse se servir de sa 
signature de mani^e frauduleuse. En effet, le membre r^voqu^ pourrait continuer k 
utiliser sa cl6 pour participer aux ench&r^ et &usser le hon d^ulement de ces 
demises par exemple en &isanjt monter le montant. Et, s'il prend soin de se retira: 
su£Gsamment tdt du processus de bqon & ne pas renq)orter les ^ich^ares en question, 
alors cette fraude n'est pas d6tect6e puisque seule Tidentit^ du gagnant est finalement 
r6v616e. La mise en oeuvre d'un proc6d6 selon I'invention permet de r6soudre le 
probldme de revocation d'un ou de membre(s) du groupe. 

Une troisi&ne ^plication dhm proc6d6 selon Tinvention est le paiement 
61ectronique. Elle met en jeu quatre protagoniste : un client, un commergant, une 
banque et une autorite de confiance. Chaque client doit se &ire identifier par le 
syst^e et obtaiir une cl6 privee de groupe memoris^e dans une carte k puce, avant de 
pouvoir effectuer sa premiere transaction. Pour effectuer un paiement, le client doit 
redrer des pieces electromques aupr^s de sa banque. Les pieces qu'il retire sent 
anonymes grSce h Tutilisation dHm mecanisme dit de signature aveugle. La d6pense 
dhme piice C chez un commergant se &it de la manito suivante : le client g&ihre au 
moyen de sa carte a puce une signature de groupe portant sur les pieces C et transmet 
Tensemble signature et pieces C au commergant. Le commergant v6rifie la signature de 
la banque attaclL6e k chaque pidce C et v6rifie la signature de groupe. Si chacune des 
deux signatures est valide, le commer^t accepte la transaction. A un mom^ donnS 
du jour, le commergant transmet k sa banque les signatures et les pitees regues en 
paiement pour virement k son conq>te. En cas de fraude, par exemple par la 
r&tilisation d'une m6me pidce dans plusieurs transactions, la banque envoie la 
signature de groupe portant sur la pidce litigieuse k Tautorite de confiance afin qu'elle 
identifie le client indelicat et sanctionne le contrevenant. 

Un m6canisme fiable de revocation des clSs compromises est necessaire afin 
6L6snt& une fiaude du type suivant : un client inalhoim§te signale k Tautorite de 
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confiance la perte de sa eld priv6e s et decline alors toute r^onsabilitd pour les 
fraudes qui pourraieat &xe commises avec s. Le client remet sa cl6 k son complice, 
leqad peut alors utiliser s pour signer les pieces c qu*il a 16gitrmement retirees h la 
banque, puis les d6penser autant de fois qu'U le souhaite. Un proc^6 selon Tinvention 
permet de rdsoudre le probl^me de la revocation des cMs s. 
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REVENDICATIONS 

1. Proc6d6 cryptograpWque mis en oeuvre par une carte (30) k puce d'un ensemble de 
cartes k puce ^partenant chacune k une premise entit6 qui peut €tre diffikente 
pour chaque carte k puce, chaque carte k puce 6tant ^qu^>^ dWe puce (31) 
con^renant un moyen (32) de memorisation dans lequd sent m6moris6s une cl6 
secrdte et un identifiant de la premiere entity propri^taire de la carte (30) k puce et 
comprenant un moyen (33) de calcul dans leqael est implaat6 im algorithme de 
cryptographie ayant pour argmnents d'entr^e au moins la cl6 secrete, caract^risS 
en ce qu*il contprend les Stapes qui consistent : 

- avant tout calcul par le moyen (33) de calcul de la puce (3 1) de la carte (30) 
k puce, k lire (2) par la puce (31) dans un moyen de memorisation d'une 
seconde entity une liste d'identifiants sous forme int6grale des premises 
entit& proprietaires d*une carte a puce, cette liste 6tant li6e a chaque 6tat 
attribu6 k chacune des premieres entit& par la seconde entit6, 

- k comparer (3) par la puce (31) Tidentifiant m6moris6 dans le moyen (32) 
de mdnorisation de la puce (3 1) et le contenu de la liste, pour autorise: (S) 
ou inter dire (4) tout calcul du moyen (33) de calcul en fonction du rdsultat 
de la comparaison. 

2. Proc^de cryptographique selon la revendication 1, dans lequel la liste comprend 
Tens^ble des premieres entitSs dont T^tat est positiozmi6 k r6voqud par la seconde 
entit6 et dans lequel rautorisation (S) de calcul est donnj^e par la puce (31) 
uniquement si Tidentifiant memorise dans le moyen (32) de memorisation de la 
puce (3 1) n'appartient pas k la liste. 

3. Proc6de cryptographique selon la revendication 1, dans lequel la liste comprend 
I'ensemble des premieres entites dont V&at est positionne k non revoque par la 
seconde entity et dans lequel rautorisation (5) de calcul est donn^e par la puce 
(3 1) uniquement si Fidentifiant memorise dans le moyen (32) de memorisation de 
la puce (31) appartient k la liste. 

4. Precede cryptographique selon l*une des revendications 1^3, comprenant en 
outre les ^apes qui consistent : 
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- en m&ne temps que la lecture (2) de la liste, k lire (10) une signature de 
cette Uste par la puce (31) dans le moyen de memorisation de la seconde 
entity la signature ayant &6 pr6alablement calcul^e par un moyen de calcul 
de la seconde entit6, 

- avant autorisation (5) par la puce de tout calcul du moyen (33) de calcul, k 
vdrifi^ (11) par la puce (3 1) la validit6 de la signature. 

5. Proc&ie ciyptographique selon Tune des revendications 1^2, oomprenant en 
outre les 6tapes qui consistent : 

- en mSme temps que la lecture (2) de la liste, k lire (12) des signatures des 
identifiants de la liste par la puce (31) dans le moyen de memorisation de la 
seconde entitd, chaque identifiant ayant donn6 lieu k une signature 
prealablement calcul6e par un moyen de calcul de la seconde entitS, 

- en m€me temps que la lecture (2) de la liste, k lire (13, 14) par la puce (31) 
dans le moyen de memorisation de la seconde entit6, une valeur du nombre 
d'identifiants list^s dans cette liste ainsi quhme signature de cette valeur, la 
valeur et sa signature ayant 6t& prealablement calculSes par un moyen de 
calcul de la seconde entite, 

- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de 
calcul, a verifier (16, 17) par la puce (31) la validite de chacune des 
signatures, 

- k conrpter (15) par la puce (31) le nombre d*identifiants contenus dans la 
liste lue, 

- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de 
calcul, a verifier (18) T^alHe entre la valeur du compteur et la valeur lue. 

6. Carte (30) k puce pour la mise en oeuvre d'un precede selon Time des 
revendications 1 & 5, caracterisee en ce qu'elle (30) est €qpap6& d*une puce (31) qui 
comprend au moins : 

- un moyen (32) de memorisation dWe cie secrete &t d\m identifiant dWe 
premiere entite proprietaire de la carte k puce, 

- un moyen (33) de calcul dans lequel est implante un algorithme de 
cryptographie ayant pour arguments d'entree au moins la cie secrete. 
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un moyen (34) pour lire une liste d'identifiants sous forme int^grale dans im 
moyen de m^orisation d'une seconde entit6, via un r&eau de 

t61dcom0iumcation, 

un moyen (35) pour autoriser tout calcul par le moyen (33) de calcul en 
fonction du r6sull:at d*une comparaison entre Tidentifiant et le contenu de la 
liste. 
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